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Hierbij wordt verklaard, dat in Nederland op 15 april 1999 onder nummer 101 1800, 
ten name van: 
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te Groningen 
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"Werkwijze en inrichting voor het cryptografisch bewerken van data", 
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aanvrage om octrooi, en 

dat de hieraan gehechte stukken overeenstemmen met de oorspronkelijk ingediende stukken. 
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Bij het cryptografisch bewerken van data worden deze data (X) en een 
sleutel (K) aan een cryptografisch proces (P> toegevoerd, dat een 
bekend proces kan zijn. Teneinde de aard van het proces (P) te 
versluieren worden aan het proces hulpwaarden toegevoerd, zoals een 
aanvullende sleutel (K*) , met behulp waarvan een aanvullend proces 
(P*) de eigenlijke sleutel (K) genereert. De combinatie van het 
oorspronkelijke proces (P) en het aanvullende proces (P*) levert een 
onbekend proces op, waarbij de relatie tussen de aanvullende sleutel 
(K*) en de bewerkte data (Y) onbekend is. Hierdoor wordt een betere 
cryptografische beveiliging verkregen. 



(Fig. 2) 
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Korte aanduiding: Werkwijze en inrichting voor het cryptograf isch 
b ewer ken van data. 

ACHTERGROND VAN DE UITVINDING 

De uitvinding heeft betrekking op een werkwijze voor bet 
cryptograf isch bewerken van data, oravattende het aan een cryptogra- 
fisch proces toevoeren van waarden, te weten de data en een sleutel, 
5 en het uitvoeren van het proces teneinde cryptograf isch bewerkte data 
te vormen. Een dergelijke werkwijze is in de praktijk bekend. 

Voor het cryptograf isch bewerken van data worden in de praktijk 
vaak algemeen bekende processen toegepast. Voorbeelden van dergelijke 
cryptografische processen (algoritmen) zijn DES en RSA, die 
10 bijvoorbeeld zijn beschreven in het boek "Applied Cryptography" door 
B. Schneier (2e uitgave) , New York, 1996. 

Deze processen worden gepubliceerd omdat men ervan uitging dat 
bet, bij een voldoende grote sleutellengte , ondoenlijk zou zijn aan de 
hand van de bewerkte data de oorspronkelijke data en/of de sleutel te 
15 achterhalen, ook al was het cryptografische proces bekend. 

Recentelijk zijn echter aanvallen ontdekt die zijn gebaseerd op 
kennis van het cryptografische proces. Met andere woorden, doordat het 
gedrag van het proces bekend is wordt het, bij bepaalde aanvallen, 
aanzienlijk eenvoudiger om de gebruikte sleutel en/of de 
20 oorspronkelijke data te herleiden. Het zal duidelijk zijn dat dit 
ongewenst is . 

SAMENVATTING VAN DE UITVINDING 

De uitvinding beoogt bovengenoemd probleem op . te lossen door een 

25 werkwijze en schakeling voor het uitvoeren van een cryptograf isch 

proces aan te geven die het herleiden van de sleutel bij toepassing 
van een bekend (d.w.z. openbaar) cryptograf isch proces aanzienlijk be- 
moeilijken of zelfs ondoenlijk maken. Een werkwijze van de in de 
aanhef genoemde soort is hiertoe overeenkomstig de uitvinding 

30 gekenmerkt door het aan het proces toevoeren van hulpwaarden teneinde 
de in het proces gebruikte waarden te maskeren. 

Door het maskeren van de data en/of sleutel(s) wordt het 
aanzienlijk moeilijker deze waarden aan de hand van het gedrag van het 
proces te herleiden. Het resultaat van het proces, dat wil zeggen de 

35 verzameling bewerkte data, kan bij een geschikte keuze van de 

hulpwaarden onveranderd zijn, dat wil zeggen identiek zijn aan het 
resultaat van het proces indien daar geen hulpwaarden aan zijn 
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toegevoerd. In dit verband wordt onder een "hulpwaarde" een waarde 
(data of sleutel) verstaan, die in aanvulling op de corresponderende 
data en sleutel aan het proces wordt toegevoerd. 

De uitvinding is derhalve gebaseerd op het inzicht, dat het 
5 herleiden van de in een cryptograf isch proces gebruikte waarden 

aanzienlijk gecompliceerd wordt indien deze waarden door middel van 
hulpwaarden zijn gemaskeerd. 

De uitvinding is mede gebaseerd op het verdere inzicht, dat het 
gebruik van hulpwaarden het resultaat van het proces niet 
10 noodzakelijkerwijs beinvloedt. 

In een eerste uitvoeringsvorm van de uitvinding omvat een 
hulpwaarde een aanvullende sleutel die aan een aanvullend proces wordt 
toegevoerd teneinde de sleutel te vormen. 

Door een combinatie van een bekend proces en een aanvullend 
15 proces toe te passen wordt een nieuw, op zich onbekend cryptograf isch 
proces gevormd, zelfs indien het aanvullende proces ook op zich bekend 
is . 

Door de voor het bekende proces gebruikte sleutel (primaire 
sleutel) af te leiden uit een aanvullende sleutel (secundaire sleutel) 

20 met behulp van een aanvullend proces wordt bereikt dat niet de 
(primaire) sleutel van het bekende proces maar de aanvullende 
(secundaire) sleutel aan de combinatie van processen wordt aangeboden. 
Met andere woorden, extern wordt de aanvullende (secundaire) sleutel 
en niet de werkelijke (primaire) sleutel van het eigenlijke proces 

25 gebruikt. Het af leiden van de sleutel uit de oorspronkelijke data en 
de bewerkte data is daarmee ondoenlijk geworden. Tevens is het 
afleiden van de aanvullende sleutel ernstig bemoeilijkt, omdat de 
combinatie van het oorspronkelijke proces en het aanvullende proces 
niet bekend is . 

30 Deze uitvoeringsvorm van de uitvinding is derhalve onder meer 

gebaseerd op het inzicht, dat het bekend zijn van een cryptograf isch 
proces ongewenst is, dit in tegenstelling tot wat tot dusver werd 
aangenomen. Deze uitvoeringsvorm is tevens gebaseerd op het verdere 
inzicht, dat aanvallen die voortbouwen op kennis van het proces aan- 

35 zienlijk moeilijker worden indien het proces onbekend is. 

Bij voorkeur omvat het aanvullende proces een cryptograf isch 
proces. Dit maakt het herleiden van de aanvullende sleutel moeilijker. 
In principe kan echter bijvoorbeeld een eenvoudige codering als 
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aanvullend proces worden toegepast. Bij een cryptograf isch proces 
wordt bij voorkeur een hulpsleutel toegepast. 

Met voordeel is het aanvullende proces een inverteerbaar proces. 
Dit maakt het mogelijk de werkwijze volgens de uitvinding bij 
5 bestaande apparatuur met minimale wijzigingen toe te passen. Indien 
bijvoorbeeld een eerste inrichting een (aanvullende) sleutel afgeeft 
die in een tweede inrichting over eenkoms tig de uitvinding wordt 
toegepast, kan in de eerste inrichting de inverse van het aanvullende 
proces worden gebruikt om de aanvullende sleutel uit de 

10 oorspronkelijke sleutel af te leiden. Met andere woorden, hoewel in 
zowel de eerste als de tweede inrichting intern de oorspronkelijke 
(primaire) sleutel wordt gebruikt, wordt tussen de inrichtingen de 
aanvullende (secundaire) sleutel uitgewisseld. Het onderscheppen van 
de aanvullende sleutel leidt echter niet tot kennis van de oorspronke- 

15 lijke sleutel. 

Het kan voordelig zijn als het uitvoeren van het aanvullende 
proces uitsluitend plaatsvindt indien de data vooraf bepaalde 
eigenschappen bezitten. Op deze wijze kan het cryptograf isch bewerken 
alleen voor bepaalde, geselecteerde data worden uitgevoerd, terwijl 

20 dit voor alle andere. data is geblokkeerd. Op deze wijze wordt een aan- 
vullende bescherming bereikt. 

Een optimale beveiliging wordt geboden indien het proces en het 
aanvullende proces elk uit een aantal stappen zijn opgebouwd, en 
waarin afwisselend stappen van het proces en het aanvullende proces 

25 worden uitgevoerd. Hierdoor worden de eigenschappen van het bekende 
proces verder versluierd, waardoor het herleiden van de sleutels 
verder wordt bemoeilijkt. 

In een tweede uitvoeringsvorm van de uitvinding omvat het proces 
een aantal trappen met elk een cryptograf ische bewerking voor het 

30 bewerken van uit de data afgeleide rechter data en een 

combinatiebewerking voor het met uit de data afgeleide linker data 
combineren van de bewerkte rechter data teneinde gemodif iceerde linker 
data te vormen, waarin vooraf gaande aan de eerste trap de rechter data 
met een primaire hulpwaarde en de linker data met een additionele 

35 hulpwaarde worden gecombineerd. Daardoor worden de in de trappen 
gebruikte en tussen de trappen overgedragen data gemaskeerd. 

Teneinde mogelijk te maken dat de primaire en additionele 
hulpwaarden niet in het eindresultaat van het proces doorwerken 
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worden, bij voorkeur onmiddellijk na de laatste trap, de rechter data 
met een verdere primaire hulpwaarde en de gemodif iceerde linker data 
met een verdere additionele hulpwaarde gecomb ineerd. 

Om het resultaat van de bewerkingen niet door de primaire 
hulpwaarden te laten beinvloeden wordt de werkwijze volgens de 
uitvinding bij voorkeur zodanig uitgevoerd, dat de rechter data, in 
elke trap en voorafgaand aan de bewerking, met de primaire hulpwaarde 
van die trap worden gecomb ineerd. 

Een verdere bescherming wordt bereikt indien de bewerkte rechter 
data, volgend op de bewerking, met een secundaire hulpwaarde van die 
trap worden gecomb ineerd. 



Met voordeel is de secundaire hulpwaarde van een trap gevormd 
uit de combinatie van de primaire hulpwaarde van de voorgaande trap en 
15 de primaire hulpwaarde van de volgende trap. Hierdoor wordt het 

mogelijk de hulpwaarde in de telkens volgende trap te compenseren, 
waardoor deze hulpwaarde niet in het eindresultaat van het proces zal 
doorwerken. 

Het is mogelijk de werkwijze volgens de uitvinding zodanig uit 

20 te voeren, dat alle primaire hulpwaarden gelijk zijn. Hierdoor is een 
zeer eenvoudige praktische realisatie mogelijk. Het gebruik van 
verschillende hulpwaarden, die bij voorkeur toevalsgetallen zijn en 
voor elke keer dat het proces wordt uitgevoerd opnieuw worden 
gegenereerd, biedt echter een grotere cryptograf ische beveiliging. 

25 Een verdere vereenvoudiging van deze uitvoeringsvorm kan worden 

verkregen indien de primaire hulpwaarden en/of secundaire hulpwaarden 
telkens vooraf met de respectieve bewerking zijn gecombineerd. Dat wil 
zeggen, het combineren met hulpwaarden wordt in de betreffende 
bewerking (bijvoorbeeld een substitutie) verwerkt, zodat het resultaat 

30 van de respectieve bewerking gelijk is aan dat van de oorspronkelijke 
bewerking plus een of twee combinatiebewerkingen met hulpwaarden. Door 
het vooraf in de bewerking opnemen van de combinatiebewerkingen is een 
eenvoudiger en snellere praktische realisatie mogelijk. 

De genoemde combinatiebewerkingen worden bij voorkeur door 

35 middel van een exclusief -of -bewerking uitgevoerd. Andere 

combinatiebewerkingen, zoals binair optellen, zijn in principe echter 
ook mogelijk. 

De uitvinding verschaft verder een schakeling voor het uitvoeren 



van een werkwijze voor het cryptograf isch bewerken van data. De 
uitvinding verschaft bovendien een betaalkaart en een betaalterminal 
die van een dergelijke schakeling zijn voorzien. 

De uitvinding zal in het onderstaande aan de hand van in de 
5 figuren weergegeven uitvoeringsvoorbeelden nader worden toegelicht. 

KQRTE BESCHRIJVING VAN DE TEKENINGEN 

Fig. 1 toont schematise*! een cryptograf isch proces volgens de 
stand van de techniek. 
10 Fig. 2 toont schematisch een eerste cryptograf isch proces 

volgens een eerste uitvoeringsvorm van de uitvinding. 

Fig. 3 toont schematisch een tweede cryptograf isch proces 
volgens een eerste uitvoeringsvorm van de uitvinding. 

Fig. 4 toont schematisch een wijze waarop de processen van Fig. 
15 1 en 2 kunnen worden uitgevoerd. 

Fig. 5 toont schematisch een cryptograf isch proces met meerdere 
trappen volgens de stand van de techniek. 

Fig. 6 toont schematisch een eerste cryptograf isch proces 
volgens een tweede uitvoeringsvorm van de uitvinding. 
20 Fig. 7 toont schematisch een tweede cryptograf isch proces 

volgens een tweede uitvoeringsvorm van de uitvinding. 

Fig. 8 toont schematisch een derde cryptograf isch proces volgens 
een tweede uitvoeringsvorm van de uitvinding. 

Fig. 9 toont schematisch een schakeling waarin de uitvinding 
25 wordt toegepast. 

Fig. 10 toont schematisch een betaalsysteem waarin de uitvinding 

wordt toegepast. 

V00RKEURSUITV0ER1NGSV0RMEN 

30 Een (cryptograf isch) proces P volgens de stand van de techniek 

is in figuur 1 schematisch weergegeven. Aan het proces P worden 
ingangsdata X en een sleutel K toegevoerd. Aan de hand van de sleutel 
K zet het proces P de ingangsdata X om in (cryptograf isch) bewerkte 
uitgangsdata Y: Y = P R (X) . Het proces P kan een bekend cryptograf isch 

35 proces zijn, zoals DES (Data Encryption Standard), drievoudige DES , of 
RSA (Rivest, Shamir & Adleman) . 

Indien de ingangsdata X en de uitgangsdata Y bekend zijn is het 
in principe mogelijk de gebruikte sleutel K te herleiden. Bij een 



sleutel met een voldoende grote lengte (d.w.z., een voldoend groot 
aantal bits) werd het tot nu toe ondoenlijk geacht deze sleutel te 
herleiden, zelfs indien het proces P bekend was. Ondoenlijk wil in dit 
geval zeggen dat het in theorie weliswaar mogelijk is, bijvoorbeeld 
5 door het proberen van alle mogelijke sleutels, om de gebruikte sleutel 
te achterhalen, maar dat dit een onbruikbaar lange rekentijd vergt. 
Een dergelijke aanval met brute kracht ("brute force attack") is 
daarom nauwelijks een bedreiging voor de cryptograf ische beveiliging. 
Recent ontdekte aanvallen maken echter gebruik van kennis van 

10 het proces, waardoor het aantal mogelijke sleutels drastisch kan 

worden gereduceerd. Het herleiden van de gebruikte sleutel K en/of de 
ingangsdata X uit de uitgangsdata Y wordt daardoor binnen aanvaardbare 
rekentijden mogelijk. 

Het principe van de uitvinding, die beoogt dergelijke aanvallen 

15 aanzienlijk moeilijker en tijdrovender te maken, is in Fig. 2 

schematisch weergegeven. Evenals in Fig. 1 worden aan een (bekend) 
proces P ingangsdata X en een (geheime) sleutel K toegevoerd om 
uitgangsdata Y te genereren. 

In tegenstelling tot de situatie van Fig. 1 wordt in de situatie 

20 van Fig. 2 de sleutel K vanuit een aanvullend proces P* aan het proces 
P toegevoerd. Het aanvullende proces P* heeft een aanvullende 
(secundaire) sleutel K* als ingangsdata om, onder invloed van een 
hulpsleutel K' , de (primaire) sleutel K als uitgangsdata te 
produceren. De sleutel K wordt dus niet, zoals in de situatie van Fig. 

25 1, vanuit een externe bron (bijvoorbeeld een geheugen) aan het proces 
P toegevoerd, maar wordt door het proces P* voortgebracht uit de 
aanvullende (secundaire) sleutel K*: 

K - P* K ,(K) 

Het is dus de secundaire sleutel K* in plaats van de primaire 
30 sleutel K die vooraf is bepaald en die bijvoorbeeld in een 

sleutelgeheugen (niet getoond) wordt opgeslagen. Overeenkomstig de 
uitvinding is de primaire sleutel K die aan het proces P wordt 
toegevoerd niet vooraf bepaald. 

De hulpsleutel K' kan een vast opgeslagen, vooraf bepaalde 
35 sleutel zijn. Het is ook mogelijk een aanvullend proces P* toe te 
passen waarin geen hulpsleutel K' wordt gebruikt. 

De combinatie van de processen P en P* vormt een nieuw proces, 
dat schematisch is aangeduid als Q. Aan het proces Q, dat vanwege het 
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aanvullende proces P* op zich onbekend is , worden de ingangsdata X en 
de (secundaire) sleutel K* toegevoerd om de uitgangsdata Y te 
produceren. De relatie tussen de secundaire sleutel K* en de primaire 
sleutel K wordt door het aanvullende proces P* versluierd. 
5 Het aanvullende proces P* is bij voorkeur de inverse van een 

ander, inverteerbaar proces R. Dat wil zeggen: 

P* = R" 1 . 

Dit maakt het mogelijk de secundaire sleutel K* met behulp van R 
en de hulpsleutel K' voort te brengen uit de primaire sleutel K: 

10 K* = R K ,(K) , 

zoals later aan de hand van figuur 5 nader zal worden toegelicht. 
Eventueel kan het nieuwe proces Q worden uitgebreid met het proces R, 
zodat de primaire sleutel K in plaats van de secundaire sleutel K* aan 
het proces Q wordt toegevoerd. De primaire sleutel K wordt in dat 

15 geval in het proces Q afgeleid uit: 

K = P* K ,(K*) - P* K t<R K . (K)). 
Dit maakt het mogelijk dezelfde (primaire) sleutel te gebruiken als in 
de stand van de techniek. 

Het in Fig. 3 schematisch weergegeven cryptograf ische proces Q 

20 volgens de uitvinding omvat eveneens een proces P met een primaire 

sleutel K en een aanvullende proces P* met een hulpsleutel K* , waarbij 
de primaire sleutel K door het aanvullende proces P* uit de aanvullen- 
de sleutel K* wordt afgeleid. In aanvulling op het proces van Fig. 1 
worden in dit geval ook de ingangsdata X aan het aanvullende proces P* 

25 toegevoerd, zodat de primaire sleutel K mede in afhankelijkheid van de 
ingangsdata X wordt bepaald: 

K = P* R ,(K*,X) 

Hierdoor wordt een aanvullende cryptograf ische bescherming 
gekregen. Bovendien wordt hierdoor de mogelijkheid geboden het 

30 aanvullende proces P* uitsluitend uit te voeren indien bepaalde 

ingangsdata worden aangeboden. Dat wil zeggen, het aanvullende proces 
P* kan een test van de ingangsdata X omvatten en het uitvoeren van het 
aanvullende proces P* kan afhangen van het resultaat van die test. Zo 
kan het aanvullende proces P* bijvoorbeeld slechts worden uitgevoerd 

35 als de laatste twee bits van de invoerdata X gelijk zijn aan nul . Het 
effect van een dergelijke ingangsdata -afhankelijke bewerking is, dat 
slechts voor bepaalde ingangsdata X de juiste primaire sleutel K zal 
worden geproduceerd, zodat alleen die ingangsdata de gewenste 
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uitgangsdata Y opleveren. Het zal duidelijk zijn dat de 
cryptografische veiligheid hierdoor verder wordt vergroot. 

In Fig. 4 is schematisch de wijze weergegeven waarop deelstappen 
van de processen P en P* afwisselend kunnen worden uitgevoerd 
5 ("interleaving") teneinde de bescherming tegen aanvallen verder te 
vergroten. De deelstappen kunnen zogenaamde "rondes" omvatten, zoals 
bijvoorbeeld bij DES het geval is. Bij voorkeur omvatten de deelstap- 
pen echter slechts een of enkele instructies van een programma, 
waarmee de processen worden uitgevoerd. 

10 In een eerste stap 101 wordt een eerste deelstap P x van het 

proces P uitgevoerd. Vervolgens wordt in een tweede stap 102 de eerste 
deelstap P x * van het aanvullende proces P* uitgevoerd. Evenzo wordt in 
een derde stap 103 de tweede deelstap P 2 van het proces P uitgevoerd 
enz. Dit gaat door totdat in stap 110 de laatste deelstap P n * van het 

15 aanvullende proces P* is uitgevoerd, waarbij omwille van het voorbeeld 
ervan is uitgegaan dat de processen P en P* evenveel deelstappen 
omvatten. Indien dat niet het geval is, wordt in stap 110 de laatste 
overeenkomstige deelstap uitgevoerd, en worden in verdere stappen de 
resterende deelstappen uitgevoerd. 

20 Door het afwisselen van de deelstappen van het op zich bekende 

proces P en het (mogelijk eveneens op zich bekende) proces P* kan een 
reeks van deelstappen worden verkregen, die niet overeenkomt met die 
van een bekend proces. De aard van het proces is hierdoor moeilijker 
te herkennen. 

25 Het in Fig. 5 schematisch en slechts bij wijze van voorbeeld 

weergegeven cryptografische proces P volgens de stand van de techniek 

omvat een aantal trappen S 1 (d.w.z. S p S 2 , S n ) . In elke trap S t 

worden (rechter) data RD t toegevoerd aan een cryptografische bewerking 
F 1 . Deze cryptografische bewerking kan zelf een aantal deelstappen 

30 omvatten, zoals een expansie, een combinatie met een sleutel, een 

substitutie en een permutatie, die echter omwille van de eenvoud van 
de tekening niet afzonderlijk zijn aangegeven. De cryptografische 
bewerking F t levert bewerkte data FD 1 : 
FD t - F l (RD i ) . 

In een combinatiebewerking CC L (CC A , CC 2 , , de index i geeft steeds 

de betreffende trap S aan) worden de bewerkte data FD 1 met linker data 
LD ± gecombineerd tot gemodif iceerde (linker) data SD lt die evenals de 
oorspronkelijke rechter data RD worden doorgegeven aan de volgende 



35 
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trap. De combinatiebewerkingen CC ± zijn bij voorkeur exclusief -of - 
bewerkingen (symbool: e) . 

Zoals in Fig. 5 is getoond, wisselen aan het eind van elke trap 
S L de gemodificeerde linker data SD t en de rechter data RD t van posi- 
5 tie, zodat deze respectievelijk de rechter data RD i+1 en de linker data 
LD 1+1 van de volgende trap S t+1 vormen. 

De linker data LD X en de rechter data RD X van de eerste trap S x 
zijn in een voorafgaande bewerking afgeleid uit ingangsdata X en kun- 
nen daarbij een voorbereidende bewerking, zoals een ingangspermutatie 

10 PP, ondergaan. De uitgangsdata SD n en RD n van de laatste trap S n vormen 
de bewerkte data Y van het proces P, eventueel nadat deze een eindbe- 
werking, zoals een uitgangspermutatie PP" 1 , hebben ondergaan. 

Het cryptografische proces van Fig. 6 komt voor een groot deel 
overeen met dat van Fig. 5. Over eenkoms tig de uitvinding worden de in 

15 en tussen de trappen aanwezige data gemaskeerd met hulpwaarden. 
Hiertoe gaan in deze u i tvoe rings vorm aan de eerste trap S x 
(voorbereidende) combinatiebewerkingen DC en EC vooraf , die bij 
voorkeur eveneens exclusief -of -bewerkingen zijn. Deze combineren 
respectievelijk de linker data LD X en de rechter data RD 1( die uit de 

20 voorbereidende bewerking (PP) afkomstig zijn, met respectievelijk een 
nulde hulpwaarde en een eerste hulpwaarde A x . De resultaten van de 
combinatiebewerkingen DC en EC zijn respectievelijk linker gemaskeerde 
data LD'i en rechter gemaskeerde data RD^ (in het vervolg van deze 
tekst zullen gemaskeerde data met een accent worden aangeduid) . De 

25 maskeringen werken door in de volgende trappen. Aangezien de linker 

data van de tweede trap S 2 gelijk zijn aan de gemaskeerde rechter data 
van de eerste trap S lf zijn deze linker data LD* 2 eveneens gemaskeerd. 
De rechter data RD 2 ' van de tweede trap zijn gemaskeerd, aangezien deze 
gelijk zijn aan de gemaskeerde gemodificeerde data SD^. 

30 Het combineren van de data LD t en RD t met de hulpwaarden A t heeft 

dus tot gevolg, dat de gemodificeerde data LD t * en RDj/ gemaskeerd 
zijn, waardoor het aanzienlijk moeilijker is de oorspronkelijke data X 
of de gebruikte sleutel uit de gemaskeerde data LD t ' en RD t f te her- 
leiden. 

35 Teneinde de hulpwaarden A t voorafgaand aan de eindbewerking (PP" 

l ) te verwijderen zijn afsluitende combinatiebewerkingen FC en GC 
voorzien, die de gemodificeerde en gemaskeerde linker data SD* n van de 
laatste trap S n met een hulpwaarde A n+1 respectievelijk de gemaskeerde 
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rechter data RD n * met een hulpwaarde A^ combineren. We gens A t m A ± = 0 
worden op deze wijze de masker ingen door de hulpwaarden A t verwijderd. 
Hierdoor is het mogelijk de werkwijze zodanig uit te voeren, dat 
ondanks het gebruik van de hulpwaarden A t de einddata Y gelijk zijn aan 
5 die welke met de conventionele werkwijze volgens Fig. 5 zouden zijn 
verkregen. 

Teneinde de invloed van de hulpwaarden A 1 op de resultaten FD t 
van de bewerkingen F t uit te sluiten, is bij voorkeur in elke trap S ± 
een aanvullende combinatiebewerking AC ± aanwezig die de rechter data 

10 RD t combineert met een (primaire) hulpwaarde A t voordat deze data aan 
de cryptografische bewerking F t worden toegevoerd. Het resultaat van 
elke aanvullende combinatiebewerking AC t is niet- gemaskeerde rechter 
data RD lf zodat de cryptografische bewerking F t op dezelfde data werkt 
als in het proces van Fig. 5. 

15 Met voordeel kan een verdere combinatiebewerking BC t tussen de 

cryptografische bewerking F 1 en de combinatiebewerking CC t zijn inge- 
voegd met het doel de bewerkte (rechter) data FD t met een verdere 
(secundaire) hulpwaarde B^ te combineren. Hierdoor kan een masker ing 
van de bewerkte data FD ± en een verdere masker ing van de (gemodifi- 

20 ceerde) linker data SD ± * worden bereikt. Bij voorkeur zijn ook de com- 
binatiebewerkingen AC t en BC ± exclusief -of -bewerkingen . 

Overeenkomstig een verder aspect van de uitvinding zijn de 
hulpwaarden A ± en B t gerelateerd. De secundaire hulpwaarden B t zijn bij 
voorkeur door middel van een exclusief -of -bewerking gevormd uit de 

25 primaire hulpwaarde A t _ 1 van de vorige trap en de primaire hulpwaarde 
A i+1 van de volgende trap: 

Bi — m A 1+1 . 

Dit heeft tot gevolg, dat elke primaire hulpwaarde A 1+1 die middels een 
verdere aanvullende combinatiebewerking EC ± als bestanddeel van de 

30 secundaire hulpwaarde B t met de bewerkte rechter data FD 1 is 

gecombineerd telkens in de volgende trap, d.w.z. in trap S 1+1 , door een 
combinatiebewerking AC t wordt gecompenseerd voordat de betreffende 
rechter data RD 1+1 aan de bewerking F t worden onderworpen. De 
(gemaskeerde) rechter data RD^ die de (gemaskeerde) linker data LD 1+1 ' 

35 van de weer volgende trap S t+2 vormen worden daar met de primaire 

hulpwaarde A 1+1 gecombineerd en aldus gecompenseerd. De hulpwaarde A i+1 
werkt door in de gemodif iceerde data SD^ t zodat deze tussen twee trap- 
pen gemaskeerd blijven. 
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De linker data U> x van de eerste trap S x zijn gemaskeerd met de 
additionele of nulde (primaire) hulpwaarde Aq. Door bet combineren met 
de secundaire bulpwaarde B x = Aq © A 2 wordt de aanvankelijke bulpwaarde 
Ao verwijderd (wegens Aq © - 0) , maar blijft de bulpwaarde A 2 en de 
5 daarmee bereikte maskering behouden. De nulde hulpwaarde Aq wordt in 
deze uitvoeringsvorm bij voorkeur gelijk gekozen aan de eerste 
bulpwaarde A x . 

Hoewel bij voorkeur alle primaire bulpwaarden A,^ verschillend 
worden gekozen, met uitzondering van Aq « A lf is bet mogelijk alle 

10 primaire bulpwaarden A^ gelijk te kiezen. In dat geval zijn alle 

secundaire bulpwaarden B t in de weergegeven uitvoeringsvorm gelijk aan 
nul, zodat de verdere combinatiebewerkingen BC ± acbterwege kunnen 
blijven. Verder is de uitvinding ook van toepassing op processen P die 
slecbts een trap S omvatten, of die een afwijkende structuur bezitten. 

15 in bet proces van Fig. 7, dat grotendeels overeenkomt met dat 

van Fig. 6, zijn de combinatiebewerkingen AC t en BC t en de cryp- 
tografische bewerking F t in elke trap geintegreerd tot een 
gecombineerde bewerking F t % . Het integreren van de 
combinatiebewerkingen in de bewerkingen F ± is mogelijk door 

20 bijvoorbeeld een substitutietabel van de bewerking F t op geschikte 
wijze aan te passen. Hierdoor kunnen de aanvullende combinatie- 
bewerkingen AC t en BC t acbterwege blijven en is het resultaat van de 
aangepaste bewerking F t ' gelijk aan bet resultaat van het totaal van de 
eigenlijke bewerking F t en de combinatiebewerkingen: 

25 FD t ' - F t ' (RD^ ) - B t 9 F L (A t • RD t ' ) . 

In principe is voor elke trap S t een verschillende gecombineerde bewer- 
king F 1 nodig, waarin verschillende bulpwaarden A t zijn geintegreerd 
(zie Fig. 6). Slecbts indien de bulpwaarden A t gelijk worden gekozen, 
d.w.z. Aj - A 2 - .... — A^, kunnen de gecombineerde bewerkingen F t in 

30 deze uitvoeringsvorm gelijk zijn. 

Bij voorkeur worden, elke keer dat bet proces wordt uitgevoerd, 
de waarden A t opnieuw gekozen. Dit betekent voor het proces van Fig. 7 
dat dan ook de gecombineerde bewerkingen F ± ' opnieuw worden bepaald. 
Aangezien de bewerkingen F L * in vele implementaties het gebruik van 

35 meerdere tabellen zullen omvatten, zoals substitutietabellen, zullen 
deze tabellen, elke keer dat het proces P wordt uitgevoerd, opnieuw 
worden bepaald. Teneinde een aanvullende bescherming tegen aanvallen 
te bieden worden volgens een verder aspect van uitvinding de tabellen 
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in een willekeurige volgorde bepaald. Indien een gecombineerde 
bewerking F t ' bijvoorbeeld acht tabellen omvat, worden deze acht tabel- 
len, iedere keer dat deze bewerking F t ' opnieuw wordt uitgevoerd, in 
een andere volgorde bepaald. Deze volgorde kan worden bepaald aan de 
5 hand van de inhoud van een volgorderegister , welke inhoud telkens door 
een toevalsgetal , afkomstig van een toevalsgenerator , kan worden 
gevormd. Op basis van de inhoud van het volgorderegister kan verder 
telkens opnieuw een opzoektabel worden samengesteld. Met de 
opzoektabel kunnen de tabellen in een geheugen worden weggeschreven en 

10 later worden uitgelezen. 

Volgens een verder aspect van de uitvinding kunnen in aanvulling 
hierop of in plaats hiervan de elementen van elke tabel in een 
willekeurige volgorde worden bepaald en/of opgeslagen. Ook met deze 
maatregel wordt bereikt dat de bescherming tegen aanvallen wordt 

15 verbeterd. Ook in dit geval kan een opzoektabel worden toegepast, aan 
de hand waarvan de elementen later kunnen worden opgevraagd. 

De hiervoor genoemde maatregelen kunnen ook worden toegepast in 
andere uitvoeringsvormen van de uitvinding, zoals die van Fig. 8, of 
in geheel andere al dan niet cryptograf ische processen. 

20 De uitvoeringsvorm van Fig. 8 komt grotendeels overeen met die 

van Fig. 7. In aanvulling op Fig. 7 is in elke trap S lf met 
uitzondering van de laatste trap S n , een combinatiebewerking HC t 
opgenomen die de rechter data RD t met een tertiaire hulpwaarde W t 
combineert. Bij voorkeur is de tertiaire hulpwaarde W t gelijk aan de 

25 exclusief-of - combinatie van de hulpwaarden A 0 en A x : 

W = Aq © Aj , 

waarbij Aq * A x . 

Dit heeft het resultaat dat de bewerking HC ± steeds de nulde 
hulpwaarde Aq toevoegt en de eerste hulpwaarde A x compenseert. Hierdoor 

30 is het mogelijk dat alle cryptograf ische bewerkingen F ± in wezen 
identiek zijn, hetgeen een veel geringere verwerkings- en/of 
opslagcapaciteit vereist van een processorsysteem waarmee de werkwijze 
wordt uitgevoerd. In de uitvoeringsvorm van Fig. 8 zijn de bewerkingen 
F 1 " zodanige aanpassingen van de oorspronkelijke bewerkingen F lf dat 

35 deze gecorrigeerd zijn voor de hulpwaarde Aj en bovendien de tertiaire 
hulpwaarde W = A 0 © Aj met hun resultaat combineren. Met andere woor- 
den, indien RD t © A x aan F" wordt toegevoerd, is het resultaat gelijk 
aan FD 1 1 = F^RD^ © W. 




13 

Het zal deskundigen duidelijk zijn dat de combinatiebewerkingen 
AC i( BC t en HC t op andere plaatsen in het cryprograf ische proces P 
kunnen worden uitgevoerd om een vergelijkbaar of zelfs identiek effect 
te bereiken. 

5 In Fig. 9 is schematisch een schakeling 10 voor het ten uitvoer 

leggen van de werkwijze volgens de uitvinding getoond. De schakeling 
10 omvat een eerste geheugen 11, een tweede geheugen 12 en een 
processor 13, waarbij de geheugens 11 en 12 en de processor 13 door 
middel van een databus 14 zijn gekoppeld. Door het verschaffen van 

10 twee geheugens is het mogelijk telkens een deelstap van een van de 
processen P en P* uit te voeren (zie Fig. 4), het resultaat van die 
deelstap in bijvoorbeeld het eerste geheugen 11 op te slaan, en vanuit 
het tweede geheugen 12 een vorig tussenresultaat van het andere proces 
naar de processor 13 over te brengen. Op deze wijze is het mogelijk 

15 het afwisselend berekenen van deelstappen van twee verschillende 
processen efficient uit te voeren. 

Het in Fig. 10 schematisch weergegeven betaalsysteem omvat een 
elektronisch betaalmiddel 1 en een betaalstation 2. Het elektronische 
betaalmiddel 1 is bijvoorbeeld een zogenaamde "smart card", d.w.z. een 

20 kaart die van een geintegreerde schakeling voor het opslaan en 

verwerken van betaalgegevens is voorzien. Het betaalstation 2 omvat 
een kaartlezer 21 en een processorschakeling 22. De pro- 
cessorschakeling 22 kan overeenkomen met de schakeling 10 van Fig. 9. 
Aan het begin van een transactie draagt het betaalmiddel 1 een 

25 identificatie (kaartidentif icatie) ID over naar het betaalstation 2. 
Aan de hand van deze identificatie bepaalt het betaalstation 2 een 
sleutel die voor deze transactie zal worden gebruikt. Deze 
identificatie ID kan als ingangsdata X (zie de figuren 1-3) aan een 
cryptograf isch proces worden toegevoerd dat aan de hand van een 

30 meestersleutel MK een identif icatie -afhankelijke transactiesleutel K ID 
als uitgangsdata Y produceert. Overeenkomstig de uitvinding wordt 
hiervoor het in de figuren 2 en 3 weergegeven proces gebruikt, waarbij 
de meestersleutel MK vooraf met behulp van een proces R is omgezet in 
een aanvullende meestersleutel MK*. Deze aanvullende meestersleutel 

35 MK* wordt nu, bij voorkeur samen met de identificatie ID 

overeenkomstig Fig. 3, toegevoerd aan het aanvullende proces P* 
teneinde de oorspronkelijke meestersleutel MK te reproduceren en de 
transactiesleutel K TD uit de identificatie ID af te leiden. 
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Hoewel in de figuren 2 en 3 steeds een enkel aanvullend proces 
P* is getoond, kunnen eventueel meerdere processen P*. P**, P***, ••• 
in serie en/of parallel worden gebruikt om de primaire sleutel K af te 
leiden. 

Het zal deskundigen duidelijk zijn dat vele wijzigingen en 
aanvullingen mogelijk zijn zonder buiten het kader van de uitvinding 

te treden. 
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CQNCLUSIES 

1. Werkwijze voor het cryptograf isch bewerken van data, omvattende 
het aan een cryptograf isch proces (P) toevoeren van waarden, te weten 

5 de data (X) en een sleutel (K) , en het uitvoeren van het proces (P) 
teneinde cryptograf isch bewerkte data (Y) te vormen, gekenmerkt door 
het aan het proces (P) toevoeren van hulpwaarden (K*; A, B) teneinde 
de in het proces (P) gebruikte waarden (K; D) te maskeren. 

2. Werkwijze volgens conclusie 1, waarin een hulpwaarde een 

10 aanvullende sleutel (K*) oravat die aan een aanvullend proces (P*) 
wordt toegevoerd teneinde de sleutel (K) te vormen. 

3. Werkwijze volgens conclusie 2, waarin het aanvullende proces 
(P*) een cryptograf isch proces omvat waaraan een hulpsleutel (K 1 ) 
wordt toegevoerd. 

15 4. Werkwijze volgens conclusie 2 of 3, waarin het aanvullende 
proces (P*) een inverteerbaar proces is. 

5. Werkwijze volgens conclusie 2, 3 of 4, waarin de data (X) tevens 
aan het aanvullende proces (P*) worden toegevoerd. 

6. Werkwijze volgens conclusie 5, waarbij het uitvoeren van het 
20 aanvullende proces (P*) uitsluitend plaatsvindt indien de data (X) 

vooraf bepaalde eigenschappen bezitten. 

7. Werkwijze volgens een van de conclusies 2-6, waarin het proces 
(P) en het aanvullende proces (P*) elk uit een aantal stappen zijn 
opgebouwd, en waarin afwisselend stappen van het proces (P) en het 

25 aanvullende proces (P*) worden uitgevoerd. 

8. Werkwijze volgens een van de voorgaande conclusies, waarin het 
proces (P) een aantal trappen (S t ) omvat met elk een cryptograf ische 
bewerking (F lf F L * , F ± ") voor het bewerken van uit de data (X) 
afgeleide rechter data (RD^ en een combinatiebewerking (C t ) voor het 

30 met eveneens uit de data (X) afgeleide linker data (LD^ combineren van 
de bewerkte rechter data (FD t ) teneinde gemodif iceerde linker data 
(SD t ) te vormen, en waarin voorafgaande aan de eerste trap (S x ) , de 
rechter data (RD X ) met een primaire hulpwaarde (A t ) en de linker data 
(LD X ) met een additionele hulpwaarde (Aq) worden gecombineerd. 

35 9. Werkwijze volgens conclusie 8, waarin, onmiddellijk na de 
laatste trap (S n ) , de rechter data (RD n ) met een verdere primaire 
hulpwaarde (A^) en de gemodif iceerde linker data (SD n ,) met een verdere 
additionele hulpwaarde (A n+1 ) worden gecombineerd. 
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10. Werkwijze volgens conclusie 8 of 9, waarin de rechter data (RD t ) , 
in elke trap (S t ) en voorafgaand aan de bewerking (F t '>, met de 
primaire hulpwaarde (A t ) van die trap (S t ) worden gecombineerd. 

11. Werkwijze volgens conclusie 10, waarin de bewerkte rechter data 
5 (FD^ , volgend op de bewerking (F t ) , met een secundaire hulpwaarde (B t ) 

van die trap (S t ) worden gecombineerd. 

12. Werkwijze volgens conclusie 10 en 11, waarin de secundaire hulp- 
waarde (B t ) van een trap (S t ) gevormd is uit de combinatie van de 
primaire hulpwaarde (A^) van de voorgaande trap en de primaire 

10 hulpwaarde (A 1+1 ) van de volgende trap. 

13. Werkwijze volgens een van de conclusies 8-12, waarin alle 
primaire hulpwaarden (A t ) gelijk zijn. 

14. Werkwijze volgens een van de conclusies 9-13, waarin de primaire 
hulpwaarden (A^ en/of secundaire hulpwaarden (B t ) telkens vooraf met 

15 de respectieve bewerking (F t ) zijn gecombineerd. 

15. Werkwijze volgens conclusie 14, waarin een gecombineerde 
bewerking (F^ ) meerdere tabellen bevat, en waarin de tabellen elke 
keer dat het proces (P) wordt uitgevoerd, in een andere volgorde 
worden bepaald. 

20 16. Werkwijze volgens conclusie 14 of 15, waarin een gecombineerde 

bewerking (F L ' ) meerdere tabellen bevat, en waarin de elementen van de 
tabellen, elke keer dat het proces (P) wordt uitgevoerd, in een andere 
volgorde worden bepaald en/of opgeslagen. 

17. Werkwijze volgens conclusie 16, waarin de volgorde ten behoeve 
25 van het uitlezen van de elementen als opzoektabel wordt opgeslagen. 

18. Werkwijze volgens een van de conclusies 8-17, waarin de rechter 
data (RD t ) , na elke trap (S t ) , met een tertiaire hulpwaarde (W 1 ) wordt 
gecombineerd. 

19. Werkwijze volgens conclusie 18, waarin de tertiaire hulpwaarde 
30 (W t ) in alle trappen behalve de laatste (S n ) gelijk is aan de 

combinatie van de primaire hulpwaarde (A t ) van de eerste trap (Sj) en 
de additionele hulpwaarde (A 0 ) , en in de laatste trap (S n ) gelijk is 
aan 0 . 

20. Werkwijze volgens een van de conclusies 8-19, waarin het 
35 combineren door middel van een exclusief -of -bewerking wordt 

uitgevoerd. 

21. Werkwijze volgens een van de voorgaande conclusies, waarin de 
data (X) identificatiedata van een betaalmiddel (1) omvatten en de 
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bewerkte data (Y) een gediversif iceerde sleutel vormen. 

22. Werkwijze volgens een van de voorgaande conclusies, waarin het 
proces (P) DES omvat, bij voorkeur drievoudige DES . 

23. Schakeling (10) voor het uitvoeren van de werkwijze volgens een 
van de voorgaande conclusies. 

24. Betaalkaart (1), voorzien van een schakeling (10) volgens 
conclusie 23. 

25. Betaaltenninal (2), voorzien van een schakeling (10) volgens 
conclusie 23. 
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ABSTRACT 



In the event of cryptographically processing data, said data (X) 
and a key (K) are fed to a cryptographic process (P) , which may 
be a known process. In order to veil the nature of the process 
(P) , there are fed auxiliary values to the process, such as a 
supplementary key (K*) , using which a supplementary process (P*) 
generates the key proper (K) . The combination of the original 
process (P) and the supplementary process (P*) provides an 
unknown process, the relationship between the supplementary key 
(K*) and the processed data (Y) being unknown. As a result, 
there is obtained an improved cryptographic security. 



(FIG. 2) 
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Method and device for cryptographically processing data. 

BACKGROUND OF THE INVENTION 

The invention relates to a method for cryptographically 
5 processing data, comprising feeding, to a cryptographic process, 

values, namely, the data and a key, and carrying out the process 
in order to form cryptographically processed data. Such method 
is generally known. 

For cryptographically processing data, in practice there 

10 are often applied generally known processes . Examples of such 

cryptographic processes (algorithms) are DES and RSA [DES = Data 
Encryption Standard and RSA = Rivest, Shamir & Adleman] , which 
are described, e.g., in the book "Applied Cryptography" by B. 
Schneier (2nd edition), New York, 1996. 

15 Said processes are published since it was assumed that, in 

the event of sufficiently large key lengths, it would be 
impossible, on the basis of the processed data, to retrieve the 
original data and/or the key, even if the cryptographic process 
were known . 

20 Recently, however, there were discovered attacks which are 

based on knowledge of the cryptographic process. In other words, 
since the behaviour of the process is known, in the event of 
certain attacks it becomes considerably more simple to derive the 
key used and/or the original data. It will be understood that 

25 such is undesirable. 

SUMMARY OF THE INVENTION 

The object of the invention is to solve the above problem 
by indicating a method and circuit, for carrying out a 

30 cryptographic process, which render the derivation of the key in 

the event of application of a known (i.e., public) cryptographic 
process considerably more difficult or even impossible. For this 
purpose, a method of the type referred to in the preamble 
according to the invention is characterised by feeding, to the 

35 process, auxiliary values in order to mask the values used in the 

process . 

By masking the date and/or key(s) it becomes considerably 
more difficult to derive said values on the basis of the 
behaviour of the process. The result of the process, i.e., the 
40 collection of processed data, in the event of a suitable choice 

of the auxiliary values may be unchanged, i.e., identical to the 
result of the process, if no auxiliary values have been fed to 
it. In this connection, an "auxiliary value" is understood to 
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mean a value (data or key) which is fed to the process as a 
supplement to the corresponding data and key. 
The invention is therefore based on the insight that the 
derivation of the values used in a cryptographic process is 
5 rendered considerably more difficult if said values are masked 

using auxiliary values . 

The invention is partly based on the further insight that 
the use of auxiliary values does not necessarily affect the 
outcome of the process - 

10 In a first embodiment of the invention, an auxiliary value 

comprises a supplementary key which is fed to a supplementary 
process in order to form the key. 

By applying a combination of a known process and a 
supplementary process, there is formed a new cryptographic 

15 process, unknown per se, even if the supplementary process is 

also known per se. 

By deriving the key used for the known process (primary 
key) from a supplementary key (secondary key) using a 
supplementary process, there is achieved that not the (primary) 

20 key of the known process but the supplementary (secondary) key is 

offered to the combination of processes. In other words, 
externally the supplementary (secondary) key, and not the real 
(primary) key of the process proper, is used. Derivation of the 
key from the original data and the processed data has thereby 

25 become impossible. In addition, the derivation of the 

supplementary key has been rendered seriously more difficult, 
since the combination of the original process and the 
supplementary process is not known. 

Said embodiment of the invention is therefore based, inter 

30 alia, on the insight that the being known of a cryptographic 

process is undesirable, such contrary to what was so far assumed. 
Said embodiment is also based on the further insight that, attacks 
which elaborate on knowledge of the process become considerably 
more difficult if the process is unknown. 

35 The supplementary process preferably comprises a 

cryptographic process . This renders the derivation of the 
supplementary key more difficult. Basically, however, a simple 
encoding may be applied, e.g., as a supplementary process. In 
the event of a cryptographic process, there is preferably applied 

40 an auxiliary key. 

The supplementary process advantageously is an invertible 
process. This enables the application of the method according to 
the invention in existing equipment with minimum modifications. 
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If, e.g., a first device gives off a (supplementary) key which is 
applied in a second device according to the invention, then in 
the first device there may be used the inverse of the 
supplementary process to derive the supplementary key from the 
5 original key. In other words, although in both the first and the 

second device internally the original (primary) key is used, 
there is exchanged, between the devices, the supplementary 
(secondary) key. Intercepting the supplementary key, however, 
does not result in knowledge of the original key. 

10 It may be advantageous if carrying out the supplementary 

process takes place exclusively if the data has predetermined 
properties. In this manner, cryptographic processing may be 
carried out for specific, selected data only, while such is 
blocked for all other data. In this manner, there is achieved a 

15 supplementary protection. 

An optimum security is provided if the process and the 
supplementary process are each constructed of several steps and 
in which there are alternately carried out steps of the process 
and the supplementary process. As a result, the properties of 

20 the known process are further veiled, as a result of which the 

derivation of the keys is further complicated. 

In a second embodiment of the invention, the process 
comprises several steps, each of which has a cryptographic 
operation for processing right-hand data derived from the data 

25 and a combinatory operation for combining, with the left-hand 

data derived from the data, the processed right-hand data in 
order to form modified left-hand data, in which the right-hand 
data, prior to the first step, is combined with a primary 
auxiliary value and the left-hand data is combined with an 

30 additional auxiliary value. As a result, the data used in the 

steps and transferred between the steps is masked. 

In order to make it possible for the primary and additional 
auxiliary values do not make themselves felt in the end result of 
the process, the right-hand data is combined, preferably 

35 immediately after the last step, with a further primary auxiliary 

value, and the modified left-hand data is combined with a further 
additional auxiliary value. 

In order not to have the result of the operations affected 
by the primary auxiliary values, the method according to the 

40 invention is preferably carried out in such a manner that the 

right-hand data, in each step and prior to the operation, is 
combined with the primary auxiliary value of said step. 
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A further protection is achieved if the processed right- 
hand data, following the processing, is combined with a secondary 
auxiliary value of said step. 

5 The secondary auxiliary value of a step is advantageously 

formed from the combination of the primary auxiliary value of the 
preceding step and the primary auxiliary value of the next step. 
As a result, it becomes possible to compensate the auxiliary 
value in the repeatedly next step, as a result of which said 
10 auxiliary value will not make itself felt in the end result of 

the process . 

It is possible to carry out the method according to the 
invention in such a manner, that all primary auxiliary values are 
equal. As a result, a very simple practical realisation is 

15 possible. The use of several auxiliary values, which are 

preferably random numbers and are generated anew for each time 
the process is carried out, however, offers a greater 
cryptographic security. 

A further simplification of said embodiment may be obtained 

20 if the primary auxiliary values and/or secondary auxiliary values 

repeatedly have been combined in advance with the operation in 
question. This is to say, combining with auxiliary values is 
processed in the operation in question (e.g., a substitution), in 
such a manner that the result of the operation in question is 

25 equal to that of the original operation plus one or two 

combinatory operations with auxiliary values. By in advance 
including in the operation the combinatory operations, a more 
simple and faster practical realisation is possible . 

Said combinatory operations are preferably carried out 

30 using an XOR operation [XOR = exclusive OR] . Other combinatory 

operations, however, such as binary adding, are basically 
possible as well . 

The invention further provides a circuit for carrying out a 
method for cryptographically processing data. In addition, the 

35 invention supplies a payment card and a payment terminal provided 

with such circuit . 

Below, the invention will be further explained on the basis 
of the exemplary embodiments shown in the figures . 
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BRIEF DESCRIPTION OF THE DRAWINGS 

FIG. 1 schematically shows a cryptographic process 
according to the prior art. 
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FIG. 2 schematically shows a first cryptographic process 
according to a first embodiment of the invention. 

FIG. 3 schematically shows a second cryptographic process 
according to a first embodiment of the invention. 
5 FIG. 4 schematically shows a way in which the processes of 

figures FIG. 1 and 2 may be carried out. 

FIG. 5 schematically shows a cryptographic process having 
several steps according to the prior art. 

FIG. 6 schematically shows a first cryptographic process 
10 according to a second embodiment of the invention. 

FIG. 7 schematically shows a second cryptographic process 
according to a second embodiment of the invention. 

FIG- 8 schematically shows a third cryptographic process 
according to a second embodiment of the invention. 
15 FIG. 9 schematically shows a circuit in which the invention 

is applied. 

FIG. 10 schematically shows a payment system in which the 
invention is applied. 

20 PREFERRED EMBODIMENTS 

A (cryptographic) process P according to the prior art is 
schematically shown in FIG. 1. To the process P, there are fed 
input data X and a key K. On the basis of the key K, the process 
P converts the input data X into (crypt ©graphically) processed 

25 output data Y: Y = P K (X) . The process P may be a known 

cryptographic process, such as DES (Data Encryption Standard) , 
triple DBS, or RSA (Rivest, Shamir & Adleman) . 

If the input data X and the output data Y are known, it is 
basically possible to derive the key K used. In the event of a 

30 key of sufficient length (i.e., a sufficient number of bits), it 

was so far deemed impossible to derive said key, even if the 
process P were known. Impossible in this case is to say that in 
theory it is admittedly possible, e.g. , by trying out all 
possible keys, to retrieve the key used, but that such requires 

35 an impossibly long computational time. Such w brute-force attack" 

is therefore hardly a threat to the cryptographic security. 

Attacks recently discovered, however, make use of knowledge , 
of the process, as a result of which the number of possible keys 
may be reduced drastically. Deriving the key K used and/or the 

40 input data X from the output data Y therefore becomes possible 

within acceptable computational times. 

The principle of the invention, whose object it is to 
render such attacks considerably more difficult and time- 
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consuming, is schematically shown in FIG. 2. Just as in FIG. 1, 
to a (known) process P there are fed input data X and a (secret) 
key K to generate output data Y. 

Contrary to the situation of FIG. 1, in the situation of 
5 FIG. 2 the key K is fed to the process P from a supplementary 

process P* . The supplementary process P* has a supplementary 
(secondary) key K* as input data to produce, under the influence 
of an auxiliary key K' , the (primary) key K as output data. The 
key K is therefore not fed, as is the case in the situation of 
10 FIG. 1, from an external source (e.g., a memory) to the process 

P, but is produced by the process P* from the supplementary 
(secondary) key K* : 

K = P* K - (K) . 

15 

It is therefore the secondary key K* , instead of the 
primary key K, which is predetermined and stored, e.g., in a key 
memory (not shown) . According to the invention, the primary key 
K, which is fed to the process P, is not predetermined. 

20 The auxiliary key K' may be a permanently stored, 

predetermined key. It is also possible to apply a supplementary 
process P* in which no auxiliary key K' is used. 

The combination of the processes P and P* forms a new 
process which is schematically designated by Q. To the process Q 

25 which, on account of the supplementary process P*, is unknown per 

se, the input data X and the (secondary) key K* are fed to 
produce the output data Y. The relationship between the 
secondary key K* and the primary key K is veiled by the 
supplementary process P* . 

30 The supplementary process P* preferably is the inverse of 

another, invert ible process R. This is to say: 

P* = R 1 . 

35 This enables producing the secondary key K* from the 

primary key K using R and the auxiliary key K' : 

K* = Rr' (K) , 
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as will be further explained later by reference to FIG. 5. The 
new process Q may possibly be extended by the process R, in such 
a manner that the primary key K, instead of the secondary key KP , 
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is fed to the process Q. The primary key R in this case in the 
process Q is derived from: 

K = P* K . (K*) = P* K , <R K . (K) ) . 

5 

This enables using the same (primary) key as in the prior 

art . 

The cryptographic process Q according to the invention, 
schematically shown in FIG. 3, also comprises a process P having 

10 a primary key K and a supplementary process P* having an 

auxiliary key K' , the primary key K being derived from the 
supplementary key K* by the supplementary process P* . 
Supplementing the process of FIG. 1, in this case the input data 
X is also fed to the supplementary process P*, in such a manner 

15 that the primary key K is determined partly as a function of the 

input data X: 

K = P* K . (K*,X) . 

20 As a result, there is obtained a supplementary 

cryptographic protection- In addition, as a result the 
possibility is offered to carry out the supplementary process P* 
exclusively if certain input data is offered. This is to say 
that the supplementary process P* may comprise a test of the 

25 input data X, and carrying out the supplementary process P* may 

depend on the result of said test. Thus, the supplementary 
process P*, e.g., may be carried out only if the last two bits of 
the input data X equal zero. The effect of such an input data- 
dependent operation is that only for certain input data X the 

30 correct primary key K will be produced in such a manner that only 

said input data will deliver the desired output data Y. It will 
be understood that as a result the cryptographic security is 
further enhanced. 

FIG. 4 schematically shows the way in which substeps of the 

35 processes P and P* may be carried out alternatingly 

("interleaving") in order to further enhance the protection 
against attacks. The substeps may include so-called "rounds", 
such as, e.g., in the case of DES. The substeps, however, 
preferably comprise only one or a few instructions of a program, 

40 with which the processes are being carried out. 

In a first step 101, there is carried out a first substep Pi 
of the process P. Subsequently, in a second step 102, the first 
substep Pi* of the supplementary process P* is carried out. 
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Likewise, in a third step 103, the second substep P 2 of the 
process P is carried out etc. This continues until, in step 110, 
the last substep P n * of the supplementary process P* has been 
carried out, it being assumed, for the sake of the example, that 
5 the processes P and P* comprise an equal number of substeps. If 

such is not the case, in step 110 there is carried out the last 
corresponding substep, and in further steps the remaining 
substeps are carried out . 

By alternating the substeps of the process P, which is 

10 known per se, and the process P* (possibly known per se as well) , 

there may be obtained a series of substeps which does not 
correspond to that of a known process . As a result , the nature 
of the process is more difficult to recognise. 

The cryptographic process P schematically shown, only by 

15 way of example, in FIG. 5, according to the prior art comprises 

several steps S± (i.e., S lf S 2 , S n ) . In each step Si, (right- 

hand) data RDi is fed to a cryptographic operation F*. Said 
cryptographic operation may itself comprise a number of substeps, 
such as an expansion, a combination with a key, a substitution 

20 and a permutation which, however, have not been designated 

separately for the sake of the simplicity of the drawing. The 
cryptographic operation Fi provides processed data FD L z 

FDi = Fi (RDi) . 

25 

In a combinatory operation CCi (CCi, CC 2 , the. index i always 

indicating the step S in question) , the processed data FDi is 
combined with left-hand data LDi to form modified (left-hand) 
data SDi which, just as the original right-hand data R£>, is 

30 passed on to the next step. The combinatory operations CCi 

preferably are XOR operations (symbol: ©) . 

As is shown in FIG. 5, at the end of each step Si the 
modified left-hand data SDi and the right-hand data RD ± change 
positions in such a manner that they form the iright-hand data 

35 RDi+i and the left-hand data LDi + i of the next step S 1+1 . 

The left-hand data LDi and the right-hand data RDi of the 
first step S 1 were derived, in a preceding operation, from input 
data X and, in doing so, may undergo a preparatory processing, 
such as an input permutation. The output data SD n and RD n of the 

40 last step S n form the processed data Y of the proces P, possibly 

after it has undergone a final operation, such as an output 
permutation PP* 1 . 
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The cryptographic process of FIG. 6 largely corresponds to 
that of FIG. 5. In accordance with the invention, the data 
present in and between the steps is masked with auxiliary values. 
For this purpose, in this embodiment the first step S 1 is 
5 preceded by (preparatory) combinatory operations DC and EC, which 

are preferably XOR operations as well . They combine the left- 
hand data IiDi and the right-hand data RD lf respectively, which 
originate from the preparatory operation (PP) , with a zeroth 
auxiliary value Aq and a first auxiliary value A x . The results of 

10 the combinatory operations DC and EC are left-hand masked data 

LD 1 ! and right-hand masked data RDx', respectively (in the 
continuation of this text, masked data will be designated by an 
apos trophy) . The maskings make themselves felt in the subsequent 
steps. Since the left-hand data of the second step S 2 is equal 

15 to the masked right-hand data of the first step S 1# said left- 

hand data LD' 2 is masked as well. The right-hand data RD 2 ' of the 
second step is masked since it is equal to the masked, modified 
data SDx ■ . 

Combining the data LDi and RDi with the auxiliary values A ± 
20 therefore results in the modified data LD ± ' and RDi' being masked, 

as a result of which it is considerably more difficult to derive 
the original data X or the key used from the masked data LDi 1 and 
RDi » . 

In order to remove the auxiliary values A x prior to the 

25 final operation (PP* 1 ) , there are provided completing combinatory 

operations FC and GC, which combine the modified and masked left- 
hand data SD' n of the last step S n with an auxiliary value An +1 and 
the masked right-hand data RD n ' with an auxiliary value An, 
respectively. On account of Ai ® A x being zero in this manner the 

30 maskings are removed by the auxiliary values Ai- As a result, It 

is possible to carry out the method in such a manner that, 
notwithstanding the use of the auxiliary values A i# the final 
data Y is equal to that which would have been obtained by the 
conventional method according to FIG. 5. 

35 In order to exclude the effect of the auxiliary values A* on 

the results FD ± of the operations F i# in each step S A there is 
preferably present a supplementary combinatory operation AC t 
which combines the right-hand data RDi with a (primary) auxiliary 
value Ai before this data is fed to the cryptographic operation ^ 

40 Ft. The result of each supplementary combinatory operation ACi is 

non-masked right-hand data RDi, so that the cryptographic 
operation F ± works on the same data as in the process of FIG. 5. 
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There may be advantageously inserted a further combinatory 
operation BCi between the cryptographic operation F ± and the 
combinatory operation CCi with the purpose of combining the 
processed (right-hand) data FDi with a further (secondary) 
5 auxiliary value Bi. As a result, there may be achieved a masking 

of the processed data FDi and a further masking of the (modified) 
left-hand data SDi 1 . The combinatory operations ACi and BCi 
preferably are XOR operations as well . 

In accordance with a further aspect of the invention, the 
10 auxiliary values A A and B ± are related. The secondary auxiliary 

values Bi are formed, preferably using an XOR operation, from the 
first auxiliary value A L . X of the previous step and the auxiliary 
value A 1+ i of the next step: 

15 Bi = Ai-x 0 A i+1 . 

This results in each primary auxiliary value A i+1 which, using a 
further supplementary combinatory operation BCi, is combined with 
the processed right-hand data FDi as an ingredient of the 

20 secondary auxiliary value Bi, repeatedly being compensated in the 

next step, i.e., step Si +1 , by means of a combinatory operation ACi 
before the right-hand data RD i+1 is subjected to the operation Fi. 
The (masked) right-hand data RDi 1 in question, which forms the 
(masked) left-hand data LD i+1 1 of the still next step S i+2 are 

25 combined there with the primary auxiliary value A i+1 and is 

compensated in this manner. The auxiliary value A 1+1 makes itself 
felt in the modified data SDi 1 , in such a manner that this 
remains masked between two steps . 

The left-hand data LDx of the first step S x is masked with 

30 the additional or zeroth (primary) auxiliary value A 0 . By 

combining, with the secondary auxiliary value B x = Ao © A 2 , the 
initial auxiliary value Ao is removed (on account of Ao © Ao being 
zero) , but the auxiliary value A 2 and the masking achieved 
therewith are maintained. The zeroth auxiliary value Aq in this 

35 embodiment is preferably chosen equal to the first auxiliary 

value Aj . 

Although all primary auxiliary values Ai are preferably 
chosen different, with the exception of A 0 = A lf it is possible to 
choose all primary auxiliary values A ± equal. In this case, all 
40 secondary auxiliary values Bi in the embodiment shown will be 

equal to zero, so that the further combinatory operations BCi may 
be omitted. The invention further applies to processes P which 
contain only one step S, or have a deviating structure. 
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In the process of FIG. 7, which largely corresponds to that 
of FIG. 6, the combinatory operations ACi and BC A and the 
cryptographic operation Fi in each step are integrated to form a 
combined operation Fi' . Integrating the combinatory operations 
5 in the operations F± is possible by suitably adjusting, e.g., a 

substitution table of the operation Ft. As a result, the 
supplementary combinatory operations ACi and BCi may be omitted 
and the result of the adjusted operation Fi' is equal to the 
result of the total of the operation Fi proper and the 
10 combinatory operations : 

FDi' = Fi' (RDi " ) = Bi © F ± (Ai © RDi 1 ) . 
Basically, each step Si requires a different combinatory 
operation F ± in which various auxiliary values Ai are integrated 

15 (see FIG. 6) . Only if the auxiliary values Ai are chosen equal, 

i.e., Ai=A 2 = ... = An, the combinatory operations Ft in this 
embodiment may be equal . 

Each time the process is carried out, the values A± are 
preferably chosen anew. For the process of FIG. 7, this means 

20 that the combined operations Ft' are then determined anew. Since 

the operations Fi* in many implementations will comprise the use 
of several tables, such as substitution tables, said tables will 
be determined anew each time the process P is carried out. In 
order to offer a supplementary protection against attacks, 

25 according to a further aspect of the invention the tables will be 

determined in random order. If a combined operation Fi* 
comprises, e.g., eight tables, said eight tables will be 
determined in another order each time said operation Fi 1 is 
carried out anew. Said order may be determined on the basis of 

30 the contents of an order* register, which contents may each time 

be formed by a random number originating from a random- number 
generator . On the basis of the contents of the order register 
there may each time be composed a fresh lookup table. Using the 
lookup table, the tables may be written to a memory and later be 

35 read out. 

According to a further aspect of the invention, 
supplementing this or instead thereof, the elements of each table 
may be determined and/or stored in random order. With this 
measure it is achieved that the protection against attacks is 

40 also improved. In this case, too, there may be applied a lookup 

table on the basis of which the elements may later be retrieved. 

The measures referred to above may also be applied in 
another embodiment of the invention, such as the one of FIG. 8, 



12 



or in completely different other processes, whether cryptographic 
or not. 

The embodiment of FIG. 8 largely corresponds to that. of... 

FIG. 7. Supplementing FIG. 7, each step Si, with the exception 
5 of the last step S nt includes a combinatory operation HCi which 

combines the right-hand data RD ± with a tertiary auxiliary value 
W A . The tertiary auxiliary value W ± preferably equals the XOR 
combination of the auxiliary values Ao and A x : 

10 W = A 0 © A lf 

where A 0 A 2 . 

This results in the operation HCi always adding the zeroth 
auxiliary value Ao and compensating the first auxiliary value A x . 

15 As a result, it is possible that all cryptographic operations Fi 

are essentially identical, which requires a much smaller 
processing and/or storage capacity from a processor system with 
which the method is carried out. In the embodiment of FIG. 8, 
the operations Fi" are such adjustments of the original 

20 operations F i# that these are corrected for the auxiliary value A x 

and in addition combine the tertiary auxiliary value W = A 0 © A x 
with their result. In other words, if RDi © A a is fed to F n , the 
result will be equal to 
FDi' =F X (RD X ) © W. 

25 It will be understood by those skilled in the art that the 

combinatory processes ACi, BC ± and HCi may be carried out in 
different locations in the cryptographic process P to achieve a 
comparable or even identical effect. 

FIG. 9 schematically shows a circuit 10 for implementing 

30 the method according to the invention. The circuit 10 comprises 

a first memory 11, a second memory 12 and a processor 13, the 
memories 11 and 12 and the processor 13 being coupled using a 
data bus 14. By providing two memories, it is possible each time 
to carry out a substep of one of the processes P and P* (see FIG. 

35 4), to store the result of said substep in, e.g., the first 

memory 11, and from the second memory 12 to transfer a previous 
interim result from the other process to the processor 13 . In 
this manner, it is possible to efficiently carry out the 
alternating computation of substeps of two different processes. 

40 The payment system schematically shown in FIG. 10 comprises 

an electronic payment means 1 and a payment station 2 . The 
electronic payment means 1 is, e.g., a so-called smart card, 
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i.e., a card provided with an integrated circuit for storing and 
processing payment data. The payment station 2 comprises a card 
reader 21 and a processor circuit 22. The processor circuit 22 
may correspond to the circuit 10 of FIG. 9. 

At the beginning of a transaction, the payment means 1 
transmits an identification (card identification) ID to the 
payment station 2. By reference to said identification, the 
payment station 2 determines a key which will be used for said 
transaction. Said identification ID may be fed as input data X 
(see the figures 1-3) to a cryptographic process which, on the 
basis of a master key MK, produces an identifi cat ion -dependent 
transaction key K ID as output data Y. In accordance with the 
invention, for this purpose the process shown in the figures FIG. 
2 and 3 is used, the master key MK having been converted in 
advance, using a process R, into a supplementary master key MK* . 
Said supplementary master key MK* is now fed, preferably together 
with the identification ID, in accordance with FIG. 3, to the 
supplementary process P* in order to reproduce the original 
master key MK and to derive the transaction key K m from the 
identification ID. 

Although, in the figures FIG. 2 and 3, there is always 
shown one single supplementary process P*, there may possibly be 
used several processes P* , P**, p***, . . . i n series and/or in 
parallel to derive the primary key K. 

It will be understood by those skilled in the art that many 
modifications and amendments are possible without departing from 
the scope of the invention. 
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CLAIMS 

1. Method for cryptographically processing data, comprising 
feeding, to a cryptographic process (P) , values, namely, the data 
5 (X) and a key (K) , and carrying out the process (P) in order to 

form cryptographically processed data (Y) , characterised by 
feeding, to the process (P) , auxiliary values (K* ; A, B) in order 
to mask the values (K; D) used in the process (P) . 

10 2. Method according to claim 1, wherein an auxiliary value 

comprises a supplementary key (K*) which is fed to a 
supplementary process (P*) in order to form the key (K) . 

3 . Method according to claim 2 , wherein the supplementary 
15 process (P*) comprises a cryptographic process to which an 

auxiliary key (K 1 ) is fed. 

4 . Method according to claim 2 or 3 , wherein the supplementary 
process (P*) is an invertible process. 

20 

5. Method according to claim 2, 3 or 4 , wherein the data (X) 
is also fed to the supplementary process (P*) . 

6 . Method according to claim 5 , wherein carrying out the 

25 supplementary process (P*) takes place exclusively if the data 

(X) has predetermined properties. 

7 . Method according to any of the claims 2 - 6 , wherein the 
process (P) and the supplementary process (P*) each are built up 

30 from a number of steps, and wherein steps of the process (P) and 

the supplementary process (P*) are alternated. 

8 . Method according to any of the preceding claims , wherein 
the process (P) comprises a number of steps (Si) , each having a 

35 cryptographic operation (F i# Fi 1 , Fi") for processing right-hand 

data (RDi) derived from the data (X) and a combinatory operation 
(Ci) for combining with left-hand data (IiDj also derived from the 
data (X) , the processed right-hand data (FDi) in order to form 
modified left data (SDi) , and wherein the right-hand data (RDi) is 

40 combined with a primary auxiliary value (Ai) prior to the first 

step (Si) and the left-hand data (LDJ is combined with an 
additional auxiliary value (A 0 ) . 



9. Method according to claim 8 wherein, immediately after the 
last step (S n ) , the right-hand data (RD n ) is combined with a 
further primary auxiliary value (A„) and the modified left-hand 
data (SD n *) is combined with a further additional auxiliary value 

5 (A^) . 

10. Method according to claim 8 or 9 # wherein the right-hand 
data (RDi) is combined, in each step (Si) and prior to the 
operation (Fi'), with the primary auxiliary value (Ai) of said 

10 step (Si) . 

11. Method according to claim 10 , wherein the processed right- 
hand data (FDi) is combined, following the operation (Fi) , with 
the secondary auxiliary value (Bi) of said step (Si) . 

15 

12. Method according to claims 10 and 11, wherein the secondary 
auxiliary value (Bi) of a step (S A ) is formed from the combination 
of the primary auxiliary value (A^J of the preceding step and 
the primary auxiliary value (A i+1 ) of the next step. 

20 

13. Method according to any of the claims 8-12, wherein all 
primary auxiliary values (Ai) are equal. 

14. Method according to any of the claims 9-13, wherein the 
25 primary auxiliary values (A ± ) and/or secondary auxiliary values 

(Bi) have each time been combined with the respective operation 
(F A ) in advance . 

15. Method according to claim 14, wherein a combined operation 
30 (Fi 1 ) contains several tables, and wherein the tables are 

determined in a different order each time the process (P) is 
carried out . 

16. Method according to claim 14 or 15, wherein a combined, 

35 operation (Fi 1 ) contains several tables, and wherein the elements 

of the tables are determined and/or stored in a different order 
each time the process (P) is carried out. 

17. Method according to claim 16, wherein the order is stored 
as a lookup table for the benefit of reading out the elements . 



40 



18. Method according to any of the claims 8-17, wherein the 
right-hand data (RDi) is combined with a tertiary auxiliary value 
(Wi) after each step (Si) . 
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19. Method according to claim 18, wherein the tertiary 
auxiliary value (W x ) in all steps, except the last one (S n ) is 
equal to the combination of the primary auxiliary value (A x ) of 

5 the first step (Sx) and the additional auxiliary value (A<,) , and 

in the last step (S n ) is equal to zero. 

20. Method according to any of the claims 8-19 , wherein 
combining is carried out using an XOR operation. 

10 

21. Method according to any of the preceding claims, wherein 
the data (X) comprises identification data of a payment means (1) 
and the processed data (Y) forms a diversified key. 

15 22 . Method according to any of the preceding claims , wherein 

the process (P) comprises DES, preferably triple DES. 

23. Circuit (10) for carrying out the method according to any 
of the preceding claims . 

20 

24. Payment card (1), provided with a circuit (10) according to 
claim 23 . 
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25. Payment terminal (2) provided with a circuit (10) according 
to claim 23 . 
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